A Graphenus está ciente da importância da segurança das informações e da proteção dos dados pessoais como fatores-chave para alcançar a excelência organizacional, a competitividade no mercado, a sustentabilidade dos negócios e a conformidade regulatória.

Dessa forma, o grupo estabeleceu processos dentro da organização para planejar e implementar controles, bem como para monitorar e melhorar, a fim de garantir a confidencialidade, a integridade, a autenticidade, a rastreabilidade e a disponibilidade de informações e serviços.

A equipe de gestão do Graphenus é responsável por implementar, atualizar, melhorar, credenciar e manter um Sistema de Gestão de Segurança da Informação, de acordo com as boas práticas e normas internacionais, especificamente de acordo com a norma "UNE-EN ISO/IEC 27001:2017. Tecnologia da informação. Técnicas de segurança. Sistemas de gestão da segurança da informação. Requisitos". Ela estabeleceu os seguintes objetivos:

• Estabelecer um comitê de segurança da informação, com autoridade e competência para garantir a confidencialidade, autenticidade, integridade, disponibilidade e rastreabilidade das informações.
• Implementar a organização de segurança, designando os responsáveis pela segurança, serviços, informações, proteção de dados pessoais e sistemas de informação.
• Analisar os riscos e ameaças à segurança das informações tratadas e implementar as medidas organizacionais, operacionais e técnicas necessárias para seu tratamento adequado.
• Garantir a continuidade dos negócios diante de eventos que possam afetar ativos essenciais.
• Planejar recursos humanos e tecnológicos para prestar serviços aos clientes de acordo com os requisitos de segurança da informação e em conformidade com a legislação vigente.
• Conscientizar e treinar toda a equipe e os colaboradores sobre os riscos e ameaças à informação, as normas para sua prevenção e mitigação e a notificação de incidentes.
• Medir e analisar os objetivos e indicadores da gestão da segurança da informação, permitindo o monitoramento dos riscos e incidentes de segurança e a gestão e melhoria da eficácia das medidas e controles.
• Implementar processos de revisão, auditoria e melhoria contínua para garantir que os controles estabelecidos e as medidas de segurança sejam mantidos.
• Cumprir e demonstrar conformidade com os requisitos legais, políticos e regulatórios aplicáveis, com ênfase especial naqueles que garantem direitos digitais e proteção de dados pessoais.

O Graphenus e todos os seus membros se comprometem a realizar suas atividades de acordo com a legislação nacional e internacional vigente sobre proteção de dados, dando especial atenção às disposições do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho da União Europeia.
Conselho, de 27 de abril de 2016, sobre a proteção das pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados (doravante denominada GDPR); e à Lei Orgânica 3/2018, de 5 de dezembro de 2018, sobre a proteção de dados pessoais e a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais (doravante denominada GDPR); e à Lei Orgânica 3/2018, de 5 de dezembro de 2018, sobre a proteção de dados pessoais (doravante denominada GDPR).
garantia dos direitos digitais (doravante, LOPD).

A Graphenus tem um Diretor de Proteção de Dados (DPO) encarregado de supervisionar a conformidade com a proteção de dados.
As ações do grupo e de todos os seus funcionários no processamento de dados pessoais estão de acordo com os princípios básicos estabelecidos no Artigo 5 do GDPR:

a) Princípio da legalidade, transparência e justiça.

b) Princípio da limitação da finalidade. Implica que os dados devem ser processados para fins específicos, explícitos e legítimos, e proíbe que os dados coletados sejam processados posteriormente de forma incompatível com esses fins.

(c) Princípio da minimização de dados. Medidas técnicas e organizacionais devem ser implementadas para garantir que somente os dados estritamente necessários ("adequados, relevantes e limitados") para cada finalidade sejam processados.

d) Princípio da precisão. Os dados devem ser mantidos atualizados e devem ser excluídos ou retificados se estiverem incorretos.

e) Princípio da limitação do período de armazenamento. Uma vez atingidas as finalidades do processamento, os dados devem ser apagados, bloqueados ou anonimizados.

f) Princípio da integridade e confidencialidade. O processamento deve garantir a integridade, a disponibilidade e a confidencialidade dos dados pessoais.

O controlador de dados será responsável por garantir a conformidade com os princípios acima e por demonstrar a conformidade com eles, de acordo com o princípio da responsabilidade proativa. A Direção Geral do Graphenus, consequentemente, com o acima exposto, está comprometida com a alocação de recursos humanos e materiais razoáveis e proporcionais para a realização dos objetivos acima. A responsabilidade pelo bom funcionamento do Sistema de Gestão de Segurança da Informação recai, portanto, sobre a Direção Geral, delegando ao Gestor de Segurança da Informação a autoridade e as competências necessárias para sua efetiva implementação, seu credenciamento, sua manutenção e aprimoramento, contando, para tanto, com o apoio da equipe diretiva e dos funcionários e colaboradores da Graphenus.